Home » Viren, Trojaner & Malware Forum » steam.exe Infiziert: Backdoor.Win32.Rbot.af » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

steam.exe Infiziert: Backdoor.Win32.Rbot.af

06.08.2005, 18:46

dslsiemens

...neu hier

Beiträge: 8

#1 Hallo,
bin wohl infiziert! Nach ein paar Minuten Online findet der explorer keine web Seiten mehr obwohl die verbindung steht. Nach installation von Zonealarm versucht steam.exe ins Netz zuzugreifen, ich blockiere natürlich und schon klappt es mit der verbindung! Hab jetzt meine platte Online nach Viren durchsucht und: steam.exe Infiziert: Backdoor.Win32.Rbot.af wurde gefunden konnte aber nicht entfernt werden! Er befindet sich hier C:\WINDOWS\system32 kann ihn aber so im Ordner nicht finden aber er ist da!!! Was soll ich jetzt machen kann mir jemand helfen???

06.08.2005, 18:55

Yourhighness

Member

Beiträge: 279

#2 Hi!

Mache bitte das normale Programm:

HJT:
http://yourhighness.eddys-domain.de/hjtkurz.html

und vll noch den escancheck:
http://virus-protect.org/escan.html

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

06.08.2005, 19:05

dslsiemens

...neu hier

Themenstarter

Beiträge: 8

#3 Logfile of HijackThis v1.99.1
Scan saved at 18:58:09, on 06.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\steam.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\DOKUME~1\EA\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [steam] steam.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\RunServices: [steam] steam.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1789DBA6-24B6-44A5-8026-7D24B56675D4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1789DBA6-24B6-44A5-8026-7D24B56675D4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123065066959
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

das mit dem eScanCheck klappt es nicht er gibt ne warnmeldung aus nachdem die Datei mscomctl.ocx fehlt?!

06.08.2005, 19:11

Yourhighness

Member

Beiträge: 279

#4 Hi!
MSCOMCTL.OCX"]
http://www.ascentive.com/support/new/support_dll.phtml?dllname=MSCOMCTL.OCX http://www.ascentive.com/support/new/libraryfiles.exe

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [steam] steam.exe
O4 - HKLM\..\RunServices: [steam] steam.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1789DBA6-24B6-44A5-8026-7D24B56675D4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1789DBA6-24B6-44A5-8026-7D24B56675D4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

NEUSTART

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

06.08.2005, 20:20

Sabina

Ehrenmitglied

Beiträge: 29434

#5 Hallo@dslsiemens

fuehre das bitte auch noch durch: (so kann ich alles sehen, was letztens geladen wurde

Start--> Ausfuehren--> cmd-->DOS oeffnet sich--> kopiere nur die Eintraege der letzten 30 Tage raus (mit der Pfadangabe)

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit

06.08.2005, 20:45

dslsiemens

...neu hier

Themenstarter

Beiträge: 8

#6 Hi Sabina,
der eScanCheck dauert noch hier die andern daten:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5CF3-495F

Verzeichnis von C:\WINDOWS\system32

06.08.2005 19:43 890 vsconfig.xml
06.08.2005 16:52 3.799 jupdate-1.5.0_04-b05.log
06.08.2005 16:05 4.212 zllictbl.dat
05.08.2005 14:54 39.992 perfc009.dat
05.08.2005 14:54 48.156 perfc007.dat
05.08.2005 14:54 723.744 PerfStringBackup.INI
05.08.2005 14:54 316.594 perfh007.dat
05.08.2005 14:54 311.604 perfh009.dat
04.08.2005 15:24 2.206 wpa.dbl
04.08.2005 03:04 91.888 FNTCACHE.DAT
04.08.2005 01:56 269 spupdwxp.log
03.08.2005 11:55 20.992 TFTP324
03.08.2005 11:47 73 i
03.08.2005 01:56 25.065 wmpscheme.xml
03.08.2005 01:45 261 $winnt$.inf
03.08.2005 01:36 2.951 CONFIG.NT
03.08.2005 01:36 16.832 amcompat.tlb
03.08.2005 01:36 23.392 nscompat.tlb
03.08.2005 01:33 488 logonui.exe.manifest
03.08.2005 01:33 488 WindowsLogon.manifest
03.08.2005 01:33 749 cdplayer.exe.manifest
03.08.2005 01:33 749 wuaucpl.cpl.manifest
03.08.2005 01:33 749 sapi.cpl.manifest
03.08.2005 01:33 749 ncpa.cpl.manifest
03.08.2005 01:33 749 nwc.cpl.manifest
03.08.2005 01:29 21.740 emptyregdb.dat
03.08.2005 01:23 0 h323log.txt
29.06.2005 03:49 74.240 mscms.dll
29.06.2005 03:49 254.976 icm32.dll
03.06.2005 03:52 127.078 javaws.exe
03.06.2005 03:52 49.265 jpicpl32.cpl
03.06.2005 02:24 49.250 javaw.exe
03.06.2005 02:24 49.248 java.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5CF3-495F

Verzeichnis von C:\DOKUME~1\EA\LOKALE~1\Temp

06.08.2005 20:38 0 AVP4D8.tmp
06.08.2005 20:38 0 AVP4D7.tmp
06.08.2005 19:45 1.129 jusched.log
06.08.2005 19:45 16.384 ~DF5EB8.tmp
06.08.2005 19:43 0 jupdate1.5.0.xml
06.08.2005 19:41 16.384 ~DF3A99.tmp
06.08.2005 18:48 2.548 java_install_reg.log
06.08.2005 16:51 23.520 java_install.log
06.08.2005 16:48 879 jinstall.cfg
06.08.2005 16:48 84.005 tmp.xpi
06.08.2005 16:05 0 GLF17.tmp
06.08.2005 16:05 0 GLF15.tmp
06.08.2005 16:05 309 GLF13.tmp
06.08.2005 16:05 0 GLF14.tmp
06.08.2005 16:05 0 GLF16.tmp
06.08.2005 16:04 0 GLF10.tmp
06.08.2005 16:04 165.376 GLC4.tmp
06.08.2005 16:04 71.680 GLB3.tmp
06.08.2005 16:04 33.792 GLH5.tmp
06.08.2005 14:13 50.688 24223.mst
06.08.2005 13:37 0 GLFE.tmp
06.08.2005 13:37 0 GLFB.tmp
06.08.2005 13:37 0 GLFC.tmp
06.08.2005 13:37 0 GLFD.tmp
06.08.2005 13:37 845 GLFA.tmp
06.08.2005 13:37 0 GLF7.tmp
06.08.2005 13:37 33.792 GLH3.tmp
06.08.2005 13:37 165.376 GLC2.tmp
06.08.2005 13:37 71.680 GLB1.tmp
06.08.2005 13:13 3.901 smurfver.xml
06.08.2005 00:36 8.455 smupdate.ini
05.08.2005 23:41 426 IMTAC.xml
05.08.2005 23:41 2.036 IMTAB.xml
05.08.2005 23:41 798.234 IMTAD.xml
05.08.2005 23:39 2.794.308 IMT8F.xml
05.08.2005 23:39 1.022 IMT90.dtd
05.08.2005 23:37 798.234 IMT8E.xml
05.08.2005 23:37 426 IMT8D.xml
05.08.2005 23:37 2.036 IMT8C.xml
05.08.2005 23:37 798.234 IMT77.xml
05.08.2005 23:37 426 IMT76.xml
05.08.2005 23:37 2.036 IMT75.xml
05.08.2005 23:36 798.234 IMT66.xml
05.08.2005 23:36 426 IMT65.xml
05.08.2005 23:36 2.036 IMT64.xml
05.08.2005 23:36 2.036 IMT5C.xml
05.08.2005 23:36 798.234 IMT5E.xml
05.08.2005 23:36 426 IMT5D.xml
05.08.2005 23:35 798.234 IMT55.xml
05.08.2005 23:35 426 IMT54.xml
05.08.2005 23:35 2.036 IMT53.xml
05.08.2005 23:35 798.234 IMT52.xml
05.08.2005 23:35 2.036 IMT50.xml
05.08.2005 23:35 798.234 IMT4F.xml
05.08.2005 23:35 426 IMT51.xml
05.08.2005 23:35 426 IMT4E.xml
05.08.2005 23:35 2.036 IMT4D.xml
05.08.2005 23:35 798.234 IMT4C.xml
05.08.2005 23:35 426 IMT4B.xml
05.08.2005 23:35 2.036 IMT4A.xml
05.08.2005 23:35 798.234 IMT49.xml
05.08.2005 23:35 2.036 IMT47.xml
05.08.2005 23:35 426 IMT48.xml
05.08.2005 23:34 798.234 IMT1E.xml
05.08.2005 23:34 426 IMT1D.xml
05.08.2005 23:34 2.036 IMT1C.xml
05.08.2005 23:34 798.234 IMT16.xml
05.08.2005 23:34 426 IMT15.xml
05.08.2005 23:34 2.036 IMT14.xml
05.08.2005 23:33 798.234 IMT11.xml
05.08.2005 23:33 2.036 IMTF.xml
05.08.2005 23:33 426 IMT10.xml
05.08.2005 20:17 65.536 ~DFD2CC.tmp
05.08.2005 17:40 71.680 GLB10.tmp
05.08.2005 17:40 165.376 GLC11.tmp
05.08.2005 17:26 912 logo_t_com_81x190.gif
05.08.2005 17:26 799 spacer.gif
05.08.2005 17:26 20.300 header_t_dsl4.jpg
05.08.2005 17:26 2.154 test.gif
05.08.2005 17:26 10.335 index.htm
05.08.2005 17:26 75 up.gif
05.08.2005 17:26 170 bg_linie.gif
05.08.2005 15:40 1.878.288 TDSLSpeedMgrSetup.exe
05.08.2005 14:50 798.234 IMT17.xml
05.08.2005 14:12 0 ~148.tmp
04.08.2005 13:39 0 GLF2E.tmp
04.08.2005 13:39 309 GLF2A.tmp
04.08.2005 13:39 0 GLF2D.tmp
04.08.2005 13:39 0 GLF2C.tmp
04.08.2005 13:39 0 GLF2B.tmp
04.08.2005 13:38 0 GLF27.tmp
04.08.2005 13:38 33.792 GLH23.tmp
04.08.2005 13:38 71.680 GLB21.tmp
04.08.2005 13:38 165.376 GLC22.tmp
04.08.2005 02:25 798.234 IMT123.xml
04.08.2005 02:25 426 IMT122.xml
04.08.2005 02:25 2.036 IMT121.xml
04.08.2005 02:23 798.234 IMT110.xml
04.08.2005 02:23 2.036 IMT10E.xml
04.08.2005 02:23 426 IMT10F.xml
04.08.2005 02:23 798.234 IMT10B.xml
04.08.2005 02:23 426 IMT10A.xml
04.08.2005 02:23 2.036 IMT109.xml
04.08.2005 02:22 798.234 IMT108.xml
04.08.2005 02:22 2.036 IMT106.xml
04.08.2005 02:22 426 IMT107.xml
04.08.2005 02:22 798.234 IMT105.xml
04.08.2005 02:22 2.036 IMT103.xml
04.08.2005 02:22 426 IMT104.xml
04.08.2005 02:22 2.036 IMT100.xml
04.08.2005 02:22 798.234 IMT102.xml
04.08.2005 02:22 426 IMT101.xml
04.08.2005 02:21 798.234 IMTF5.xml
04.08.2005 02:21 426 IMTF4.xml
04.08.2005 02:21 2.036 IMTF3.xml
04.08.2005 02:21 2.036 IMTE4.xml
04.08.2005 02:21 798.234 IMTE6.xml
04.08.2005 02:21 426 IMTE5.xml
04.08.2005 02:20 798.234 IMTC9.xml
04.08.2005 02:20 426 IMTC8.xml
04.08.2005 02:20 2.036 IMTC7.xml
04.08.2005 02:20 2.036 IMTBA.xml
04.08.2005 02:20 798.234 IMTBC.xml
04.08.2005 02:20 426 IMTBB.xml
04.08.2005 02:18 2.036 IMTAA.xml
04.08.2005 02:17 2.036 IMT9D.xml
04.08.2005 02:17 426 IMT9E.xml
04.08.2005 02:17 798.234 IMT9F.xml
04.08.2005 02:15 2.036 IMT7F.xml
04.08.2005 02:15 426 IMT80.xml
04.08.2005 02:15 798.234 IMT81.xml
04.08.2005 02:14 798.234 IMT74.xml
04.08.2005 02:14 426 IMT73.xml
04.08.2005 02:14 2.036 IMT72.xml
04.08.2005 02:13 2.036 IMT46.xml
04.08.2005 02:13 426 IMT44.xml
04.08.2005 02:13 2.036 IMT43.xml
04.08.2005 02:13 798.234 IMT45.xml
04.08.2005 02:12 2.036 IMT2A.xml
04.08.2005 02:12 426 IMT2B.xml
04.08.2005 02:12 798.234 IMT2C.xml

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5CF3-495F

Verzeichnis von C:\WINDOWS

06.08.2005 19:43 0 0.log
06.08.2005 19:43 2.048 bootstat.dat
06.08.2005 19:42 12.332 SchedLgU.Txt
06.08.2005 19:42 90.029 WindowsUpdate.log
06.08.2005 16:53 2.943 mozver.dat
06.08.2005 16:52 400.213 setupapi.log
06.08.2005 16:25 99.970 UninstallFirefox.exe
06.08.2005 15:58 0 nsreg.dat
06.08.2005 14:53 64 TMFilter.log
06.08.2005 14:06 14.306 ModemLog_Trust 56K ESP-2 Modem.txt
04.08.2005 13:41 216 wiadebug.log
04.08.2005 13:41 50 wiaservc.log
04.08.2005 03:06 174.864 setupact.log
04.08.2005 03:01 18.804 KB901214.log
04.08.2005 03:01 51.450 netfxocm.log
04.08.2005 03:01 15.173 msgsocm.log
04.08.2005 03:01 385.159 iis6.log
04.08.2005 03:01 20.163 medctroc.Log
04.08.2005 03:01 14.844 tabletoc.log
04.08.2005 03:01 142.905 tsoc.log
04.08.2005 03:01 168.016 ocgen.log
04.08.2005 03:01 65.967 ntdtcsetup.log
04.08.2005 03:01 107.206 comsetup.log
04.08.2005 03:01 282.108 FaxSetup.log
04.08.2005 03:01 1.355 imsins.log
04.08.2005 03:01 18.030 ocmsn.log
04.08.2005 03:01 101.708 msmqinst.log
04.08.2005 03:01 4.687 updspapi.log
04.08.2005 03:01 15.812 KB903235.log
04.08.2005 03:01 1.355 imsins.BAK
04.08.2005 03:00 16.506 KB898458.log
04.08.2005 03:00 17.731 KB896428.log
04.08.2005 02:59 18.063 KB896422.log
04.08.2005 02:59 18.237 KB896358.log
04.08.2005 02:58 18.167 KB890046.log
04.08.2005 02:58 18.774 KB883939.log
04.08.2005 02:57 14.988 KB893086.log
04.08.2005 02:56 13.354 KB893066.log
04.08.2005 02:55 15.686 KB890859.log
04.08.2005 02:54 11.853 KB885523.log
04.08.2005 02:54 10.005 KB885222.log
04.08.2005 02:53 12.072 KB887797.log
04.08.2005 02:53 9.952 KB886677.log
04.08.2005 02:52 10.596 KB886716.log
04.08.2005 02:52 10.641 KB887742.log
04.08.2005 02:51 8.975 KB884883.log
04.08.2005 02:51 8.652 KB891122.log
04.08.2005 02:50 15.380 wmsetup.log
04.08.2005 02:50 316.640 WMSysPr9.prx
04.08.2005 02:49 9.780 KB888113.log
04.08.2005 02:48 9.756 KB891781.log
04.08.2005 02:48 10.186 KB873333.log
04.08.2005 02:47 8.189 KB885250.log
04.08.2005 02:47 1.184 KB885492.log
04.08.2005 02:47 7.805 KB887472.log
04.08.2005 02:46 8.010 KB890047.log
04.08.2005 02:46 7.399 KB888302.log
04.08.2005 02:45 6.985 KB890175.log
04.08.2005 02:45 5.301 KB890831.log
04.08.2005 02:45 6.592 KB886185.log
04.08.2005 02:44 6.937 KB885835.log
04.08.2005 02:44 6.104 KB873339.log
04.08.2005 02:44 5.969 KB885836.log
04.08.2005 02:43 4.153 KB885884.log
04.08.2005 02:43 4.656 KB884020.log
04.08.2005 02:43 6.362 KB885894.log
04.08.2005 02:42 6.417 KB898461.log
04.08.2005 02:42 5.269 KB893803v2.log
04.08.2005 02:25 487 win.ini
04.08.2005 02:25 227 system.ini
04.08.2005 01:58 29.246 spupdsvc.log
04.08.2005 01:58 360 DtcInstall.log
04.08.2005 01:57 1.174 OEWABLog.txt
04.08.2005 01:56 711.603 setuplog.txt
04.08.2005 01:53 432.834 svcpack.log
04.08.2005 01:45 200 cmsetacl.log
04.08.2005 01:44 1.330 sessmgr.setup.log
03.08.2005 11:59 1.670 Windows Update.log
03.08.2005 11:54 10.400 ModemLog_Standard 56000 bps V90 Modem.txt
03.08.2005 01:47 8.192 REGLOCS.OLD
03.08.2005 01:36 0 control.ini
03.08.2005 01:36 299.552 WMSysPrx.prx
03.08.2005 01:35 4.161 ODBCINST.INI
03.08.2005 01:33 749 WindowsShell.Manifest
03.08.2005 01:28 36 vb.ini
03.08.2005 01:28 37 vbaddin.ini
03.08.2005 01:21 0 Sti_Trace.log
03.08.2005 01:17 1.348 regopt.log
03.08.2005 01:15 0 setuperr.log
27.05.2005 01:22 10.752 hh.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5CF3-495F

Verzeichnis von C:\WINDOWS

06.08.2005 19:43 0 0.log
06.08.2005 19:43 2.048 bootstat.dat
06.08.2005 19:42 12.332 SchedLgU.Txt
06.08.2005 19:42 90.029 WindowsUpdate.log
06.08.2005 16:53 2.943 mozver.dat
06.08.2005 16:52 400.213 setupapi.log
06.08.2005 16:25 99.970 UninstallFirefox.exe
06.08.2005 15:58 0 nsreg.dat
06.08.2005 14:53 64 TMFilter.log
06.08.2005 14:06 14.306 ModemLog_Trust 56K ESP-2 Modem.txt
04.08.2005 13:41 216 wiadebug.log
04.08.2005 13:41 50 wiaservc.log
04.08.2005 03:06 174.864 setupact.log
04.08.2005 03:01 18.804 KB901214.log
04.08.2005 03:01 51.450 netfxocm.log
04.08.2005 03:01 15.173 msgsocm.log
04.08.2005 03:01 385.159 iis6.log
04.08.2005 03:01 20.163 medctroc.Log
04.08.2005 03:01 14.844 tabletoc.log
04.08.2005 03:01 142.905 tsoc.log
04.08.2005 03:01 168.016 ocgen.log
04.08.2005 03:01 65.967 ntdtcsetup.log
04.08.2005 03:01 107.206 comsetup.log
04.08.2005 03:01 282.108 FaxSetup.log
04.08.2005 03:01 1.355 imsins.log
04.08.2005 03:01 18.030 ocmsn.log
04.08.2005 03:01 101.708 msmqinst.log
04.08.2005 03:01 4.687 updspapi.log
04.08.2005 03:01 15.812 KB903235.log
04.08.2005 03:01 1.355 imsins.BAK
04.08.2005 03:00 16.506 KB898458.log
04.08.2005 03:00 17.731 KB896428.log
04.08.2005 02:59 18.063 KB896422.log
04.08.2005 02:59 18.237 KB896358.log
04.08.2005 02:58 18.167 KB890046.log
04.08.2005 02:58 18.774 KB883939.log
04.08.2005 02:57 14.988 KB893086.log
04.08.2005 02:56 13.354 KB893066.log
04.08.2005 02:55 15.686 KB890859.log
04.08.2005 02:54 11.853 KB885523.log
04.08.2005 02:54 10.005 KB885222.log
04.08.2005 02:53 12.072 KB887797.log
04.08.2005 02:53 9.952 KB886677.log
04.08.2005 02:52 10.596 KB886716.log
04.08.2005 02:52 10.641 KB887742.log
04.08.2005 02:51 8.975 KB884883.log
04.08.2005 02:51 8.652 KB891122.log
04.08.2005 02:50 15.380 wmsetup.log
04.08.2005 02:50 316.640 WMSysPr9.prx
04.08.2005 02:49 9.780 KB888113.log
04.08.2005 02:48 9.756 KB891781.log
04.08.2005 02:48 10.186 KB873333.log
04.08.2005 02:47 8.189 KB885250.log
04.08.2005 02:47 1.184 KB885492.log
04.08.2005 02:47 7.805 KB887472.log
04.08.2005 02:46 8.010 KB890047.log
04.08.2005 02:46 7.399 KB888302.log
04.08.2005 02:45 6.985 KB890175.log
04.08.2005 02:45 5.301 KB890831.log
04.08.2005 02:45 6.592 KB886185.log
04.08.2005 02:44 6.937 KB885835.log
04.08.2005 02:44 6.104 KB873339.log
04.08.2005 02:44 5.969 KB885836.log
04.08.2005 02:43 4.153 KB885884.log
04.08.2005 02:43 4.656 KB884020.log
04.08.2005 02:43 6.362 KB885894.log
04.08.2005 02:42 6.417 KB898461.log
04.08.2005 02:42 5.269 KB893803v2.log
04.08.2005 02:25 487 win.ini
04.08.2005 02:25 227 system.ini
04.08.2005 01:58 29.246 spupdsvc.log
04.08.2005 01:58 360 DtcInstall.log
04.08.2005 01:57 1.174 OEWABLog.txt
04.08.2005 01:56 711.603 setuplog.txt
04.08.2005 01:53 432.834 svcpack.log
04.08.2005 01:45 200 cmsetacl.log
04.08.2005 01:44 1.330 sessmgr.setup.log
03.08.2005 11:59 1.670 Windows Update.log
03.08.2005 11:54 10.400 ModemLog_Standard 56000 bps V90 Modem.txt
03.08.2005 01:47 8.192 REGLOCS.OLD
03.08.2005 01:36 0 control.ini
03.08.2005 01:36 299.552 WMSysPrx.prx
03.08.2005 01:35 4.161 ODBCINST.INI
03.08.2005 01:33 749 WindowsShell.Manifest
03.08.2005 01:28 36 vb.ini
03.08.2005 01:28 37 vbaddin.ini
03.08.2005 01:21 0 Sti_Trace.log
03.08.2005 01:17 1.348 regopt.log
03.08.2005 01:15 0 setuperr.log
27.05.2005 01:22 10.752 hh.exe

hoffe hab es richtig gemacht...
hier der scan:

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Sat Aug 06 19:47:08 2005 => File C:\WINDOWS\system32\steam.exe infected by "Backdoor.Win32.Rbot.af" Virus! Action Taken: No Action Taken.
2: Sat Aug 06 19:47:31 2005 => File C:\WINDOWS\system32\steam.exe infected by "Backdoor.Win32.Rbot.af" Virus! Action Taken: No Action Taken.
3: Sat Aug 06 20:36:16 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Sat Aug 06 19:47:39 2005 => ERROR!!! Invalid Entry "C:\WINDOWS\aim.exe" in SYSTEM\CurrentControlSet\Services\AIM...
2: Sat Aug 06 19:47:40 2005 => ERROR!!! Invalid Entry \??\C:\Programme\AVPersonal\AVGNTDD.SYS in SYSTEM\CurrentControlSet\Services\avgntdw...
3: Sat Aug 06 19:48:12 2005 => Entry "HKCR\CLSID\{29FF67FF-8050-480f-9F30-CC41635F2F9D}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
4: Sat Aug 06 19:48:15 2005 => Entry "HKCR\CLSID\{70B51430-B6CA-11D0-B9B9-00A0C922E750}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
5: Sat Aug 06 19:48:16 2005 => Entry "HKCR\CLSID\{8298d101-f992-43b7-8eca-5052d885b995}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
6: Sat Aug 06 19:48:16 2005 => Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.
7: Sat Aug 06 19:48:17 2005 => Entry "HKCR\CLSID\{A9E69612-B80D-11D0-B9B9-00A0C922E750}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
8: Sat Aug 06 19:48:22 2005 => Entry "HKCR\CLSID\{f612954d-3b0b-4c56-9563-227b7be624b4}" refers to invalid object "ADMWPROX.DLL". Action Taken: No Action Taken.
9: Sat Aug 06 19:48:24 2005 => Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
10: Sat Aug 06 19:48:24 2005 => Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
11: Sat Aug 06 19:48:30 2005 => Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
12: Sat Aug 06 19:48:30 2005 => Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
13: Sat Aug 06 19:48:30 2005 => Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
14: Sat Aug 06 19:48:30 2005 => Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
15: Sat Aug 06 19:48:32 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
16: Sat Aug 06 19:48:32 2005 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\WINDOWS\system32\steam.exe => Backdoor.Win32.Rbot.af

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Sat Aug 06 20:44:43 2005 => Total Objects Scanned: 41259
Sat Aug 06 20:44:43 2005 => Total Virus(es) Found: 3
Sat Aug 06 20:44:43 2005 => Total Errors: 16
Sat Aug 06 20:44:43 2005 => Virus Database Date: 2005/08/06
Sat Aug 06 20:44:43 2005 => Virus Database Count: 142398

Dieser Beitrag wurde am 06.08.2005 um 20:49 Uhr von dslsiemens editiert.

06.08.2005, 21:19

Sabina

Ehrenmitglied

Beiträge: 29434

#7 •KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\TFTP324
C:\WINDOWS\system32\i
C:\WINDOWS\system32\steam.exe

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

McAfee FreeScan (Online)--> berichte vom Scan
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

07.08.2005, 00:02

dslsiemens

...neu hier

Themenstarter

Beiträge: 8

#8 McAfee FreeScan detected NO viruses!

C:\log.txt :

C:\Dokumente und Einstellungen\EA\Eigene Dateien

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye

Jaaaaaaaa, ich bin befreit von dieser Seuche, daaanke..... ich bin doch befreit, oder? Also wie auch immer, vielen lieben DANK an euch!!!!!
Nur wie habe ich dieses Ding überhaupt bekommen, ich war ein paarmal kurz ohne firewall drinne lag es daran? Viel wichtiger jedoch was muß ich machen oder beachten um nicht noch einmal so ein Virus oder Bot zu bekommen, hilft da allein zonealarm????

07.08.2005, 01:00

MerlinX

zu Gast

#9 @dslsiemens

Zitat

Firewall beim Surfen nie Ausschalten!!!!! Auch nicht für eine Sekunde!!
Einen Aktuellen Virenscanner (Freeware oder gekauft) immer Aktualisieren.

Alle Ubdates zum Betriebsystem installieren!! Nicht alles im Internet und
Webseiten Anklicken. Unötige Dienste Deaktivieren.

Eine Optimale Sicherheit gibt es leider nicht
Ein paar Tips.>

http://www.ntsvcfg.de/
http://board.protecus.de/t8642.htm

http://board.protecus.de/t12578.htm

Mfg Merlinx

Dieser Beitrag wurde am 07.08.2005 um 02:03 Uhr von Merlinx editiert.

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1